Talvez o problema esteja no nome usado? Eu vejo "req.ssl_sni" na pergunta e "req_ssl_sni" em exemplos para o SNI.
Estou tentando estender um formato de log haproxy personalizado adicionando [req.ssl_sni]. A versão haproxy usada é a 1.6.3 no Ubuntu.
O frontend é configurado da seguinte maneira:
bind *:443
mode tcp
tcp-request inspect-delay 5s
tcp-request content accept if { req_ssl_hello_type 1 }
tcp-request content reject
log-format [...]{%[req.ssl_sni]}
Onde [...] indica outras opções de log que estão funcionando bem. O frontend está executando no modo TCP, encaminhando sessões TLS sem descriptografá-las.
A saída de log esperada seria algo semelhante a {my.server.com} para sessões TLS válidas. A saída de log que estou vendo é sempre {-} (um traço em vez do nome do servidor), mesmo quando a sessão TLS é manipulada com êxito pelo servidor de back-end. O que preciso alterar para ver o valor real do SNI nos registros?
Talvez o problema esteja no nome usado? Eu vejo "req.ssl_sni" na pergunta e "req_ssl_sni" em exemplos para o SNI.